YD_T 3008-2016域名服务安全状态检测要求.pdf

ICS 35.100.70L 79中华人民共和国通信行业标准YD/T3008-2016域名服务安全状态检测要求SecuritystatustestingrequirementsofDNS service2016-01-15发布2016-04-01实施中华人民共和国工业和信息化部发布 YD/T 300820165.2.2响应时间测试编号：5.2.2-response-time测试项目：响应时间测试对象：权威域名服务器、递归域名服务器测试步：定期向服务器发起DNS查询，检查规定时间段内（例如5分钟）响应时间的均值结果判定：1)平均响应时间不低于预先设定的阀值：服务器能够保持正常响应速度，通过。2)平均确应时间低于预先设定的阔值：服务器可能遭遇DoS攻击或者出现故障，不通过5.2.3DNS查询流量变化测试编号：5.2.3-dns-query-flood测试项目：DNS查询流量变化测试对象：权成域名服务器、递归域名服务器测试步骤：定期统计规定时闻段内（例如1分钟）DNS查询流量，与历史记录进行对比结果判定：1）著当前时段DNS查询流量相对于历史同期稳定状态的变化程度低于预先设定的阔值：DNS查海流量相对稳定，通过。2)DNS查询流量的突增比例超过阀值：提示可能存在DoS攻击的风险。3) 1DNS查御流量的突降比例超过阴值：提示业务流量可能存在异常5.2.4接入带宽消耗测试编号：5.2.4-bandwidth测试项目：接入带宽消耗测试对象：权威域名服务器、递归域名服务器测试步骤：定期统计规定时闻段内（例如5分钟）域名服务器所在网络环境的可用带宽结果判定：1）若当前时段可用带宽的比例高于预先设定的值：通过。2)可用带宽比例低于阔值：提示可用带宽存在风险，可能前弱域名服务器应对DoS攻击的能力 YD/T 300820165.2.5DNS查询请求类型分布变化测试编号：5.2.5-dns-query-type-flood测试项目：DNS查询请求类型分布变化测试对象：权威域名服务器、递归域名服务器测试步骤：定期统计规定时间段内（例如5分钟）DNS查询请求类型（例如A、NS、MX等）比例分布，与历史记录进行对比结果判定：1）DNS查询请求总数超过一定值的前提下，若当前时段某种类型的DNS查询请求比例相对于历史同期稳定状态的变化程度低于预先设定的比例阀值：该类型DNS查询分布相对稳定，通过。2）某种类型的DNS查询请求上升比例超过阀值：提示可能存在业务突增、或DoS攻击的风险。3）某种类型的DNS查询请求下降比例超过阀值：提示业务流量可能存在异常5.2.6DNS查询请求源地址地理分布变化测试编号：5.2.6-dns-query-src-loc测试项目：DNS查询请求源地址地理分布变化测试对象：权威域名服务器、递归域名服务器测试步骤：定期统计规定时间段内（例如1分钟）DNS查询请求的源IP地址地理分布（例如国家、省份、运营商）比例分布，与历史记录进行对比结果判定：1）DNS查询请求总数超过一定值的前提下，着当前时段某个地区运营商的DNS查询请求比例相对于历史同期稳定状态的变化程度低于预先设定的比例阔值：该类型DNS查询分布相对稳定，通过，2）某个地区运营商的DNS查询请求上升比例超过网值：提示可能存在业务突增、或DoS攻击的风险。3）某个地区运营商的DNS查询请求下降比例超过阀值：提示业务流量可能存在异常5.2.7重复请求测试编号：5.2.7-dns-repeat-request测试项目：重复请求测试对象：权威域名服务器、递归域名服务器定期统计规定时间段内（例如5分钟）“同一源地址发起相同DNS查询请求的次数（即同一源地址短时间出现重复请求的次数）”总和占所有请求次数的比例结果判定：1）重复请求比例低于预先设定的阔值：城名服务相对稳定，通过。2）重复请求比例超出阀值：提示查询流量异常，原因可能是服务器和客户端之间存在防火墙或路由配置错误故障，也可能是服务器正在遗受DoS攻击面导致无法对请求进行回应 YD/T 300820165.2.8无效查询测试编号：5.2.8-dns-query-error测试项目：无效查询测试对象：权威域名服务器、递归域名服务器测试步骤：定期统计规定时闻间段内（例如5分钟）无效DNS请求（例如如A-A请求、私有地址空间请求、无效TLD查询、无效域名查询等等）占所有请求次数的比例结果判定：1）无效请求比例低于预先设定的阔值：域名服务相对稳定，通过。2）无效请求比例超出阔值：提示查询流量异常，大量的无效查询可引发网络拥塞，原因可能是服务器正在遭受恶意DoS攻击5.2.99缓存中毒测试编号：5.2.9-cache-poison测试项目：缓存中毒测试对象：递归域名服务器测试步驱：1定期向递归域名服务器查询域名的资源记录，与已知该